GitHub-Sterne gelten in der Entwickler-Community als Qualitätsmerkmal – je mehr Stars ein Repository hat, desto relevanter und vertrauenswürdiger erscheint das Projekt. Doch hinter diesem Bewertungssystem verbirgt sich ein wachsender Betrugsmarkt, der nicht nur Entwickler, sondern auch Investoren systematisch in die Irre führt. Eine neue Studie der Carnegie Mellon University (CMU), die auf der renommierten Softwarekonferenz ICSE 2026 peer-reviewed veröffentlicht wurde, legt das erschreckende Ausmaß dieser Manipulation offen.
Studie analysiert über 18.000 Repositories
Die CMU-Forscher untersuchten insgesamt 18.617 Repositories und stießen dabei auf rund 301.000 verdächtige Accounts, die zur künstlichen Aufwertung von Projekten eingesetzt wurden. Besonders auffällig: Die Kategorie der KI- und Large-Language-Model-Repositories stellt den größten nicht-kriminellen Anteil unter den manipulierten Projekten dar. Das zeigt, dass gerade im boomenden KI-Sektor der Druck besonders hoch ist, mit beeindruckenden Zahlen aufzuwarten.
Der Markt für gekaufte Stars ist dabei erschreckend niedrigschwellig organisiert. Entsprechende Angebote finden sich auf Plattformen wie Fiverr, in Telegram-Kanälen und auf mindestens einem Dutzend spezialisierten Websites – ganz ohne Darknet-Zugang. Eine eigene Stichprobenanalyse von 20 Projekten mit jeweils 150 zufällig ausgewählten Profilen ergab, dass bei einzelnen Repositories zwischen 36 und 76 Prozent der Stargazer null Follower haben und die Fork-zu-Star-Ratio bis zu zehnmal schlechter ausfällt als bei organisch gewachsenen Projekten.
Risikokapitalgeber nutzen Stars als Investitionssignal
Besonders brisant ist die Rolle, die GitHub-Stars im Venture-Capital-Umfeld spielen. Die Investmentfirma Redpoint hat öffentlich kommuniziert, dass der mediane Star-Count bei Seed-Finanzierungen bei 2.850 Sternen liegt. Mehrere VC-Firmen setzen automatisierte Scraper ein, um schnell wachsende Repositories zu identifizieren und als potenzielle Investitionsziele zu markieren. Wer also Stars kauft, signalisiert künstlich Wachstum und Beliebtheit – und zieht damit echtes Kapital an.
Das ist nicht nur ein ethisches Problem, sondern auch ein juristisches. Die US-amerikanische Federal Trade Commission (FTC) hat 2024 eine Regel verabschiedet, die das Kaufen von gefälschten Social-Influence-Metriken unter Strafe stellt. Pro Verstoß drohen Bußgelder von bis zu 53.088 US-Dollar. Darüber hinaus hat die US-Börsenaufsicht SEC bereits Startup-Gründer angeklagt, die während Finanzierungsrunden Kennzahlen manipuliert haben.
Vertrauenskrise für Open-Source-Ökosystem
Die Enthüllungen treffen das Open-Source-Ökosystem zu einem kritischen Zeitpunkt. Gerade im KI-Bereich schießen täglich neue Projekte auf GitHub aus dem Boden, und die Star-Anzahl ist oft das einzige schnell verfügbare Qualitätssignal für Entwickler, Unternehmen und Investoren gleichermaßen. Wenn dieses Signal systematisch korrumpiert wird, verliert die gesamte Plattform an Glaubwürdigkeit.
GitHub selbst hat bislang keine umfassende technische Gegenmaßnahme präsentiert, die mit dem Ausmaß des Problems Schritt halten könnte. Einfache Heuristiken wie die Überprüfung von Follower-Zahlen oder Fork-Verhältnissen wären ein erster Schritt – doch solange der Markt für gefälschte Accounts floriert und die Konsequenzen überschaubar bleiben, dürfte der Anreiz zum Betrug bestehen bleiben. Für Entwickler und Investoren bedeutet das: GitHub-Stars allein sind kein verlässliches Qualitätsmerkmal mehr.
Quellen: Hacker News